La Reconnaissance Faciale dans l'espace public - Une cartographie européenne

(1)

HAL Id: hal-03133123

https://hal.univ-cotedazur.fr/hal-03133123

Submitted on 5 Feb 2021

HAL is a multi-disciplinary open access archive for the deposit and dissemination of sci-entific research documents, whether they are pub-lished or not. The documents may come from teaching and research institutions in France or abroad, or from public or private research centers.

L’archive ouverte pluridisciplinaire HAL, est destinée au dépôt et à la diffusion de documents scientifiques de niveau recherche, publiés ou non, émanant des établissements d’enseignement et de recherche français ou étrangers, des laboratoires publics ou privés.

La Reconnaissance Faciale dans l’espace public - Une

cartographie européenne

Caroline Lequesne Roth, Mehdi Kimri, Pierre Legros

To cite this version:

Caroline Lequesne Roth, Mehdi Kimri, Pierre Legros. La Reconnaissance Faciale dans l’espace public - Une cartographie européenne. [Rapport de recherche] Université Côte d’Azur, Nice, France. 2020. �hal-03133123�

(2)

(3)

(4)

Les opinions et déclarations contenues dans cette publication n’engagent que leurs auteurs et n’engagent pas la responsabilité d’Université Côte d’Azur.

(5)

«Les personnes ne sont pas l’une devant l’autre,

simplement elles sont les unes avec les autres autour

de quelque chose. Le prochain, c’est le complice ».

Emmanuel Levinas

(6)

(7)

R

emerciements

Ce travail n’aurait pu voir le jour sans le soutien de notre institution. Nous remercions Université Côte d’Azur, et plus particulièrement les équipes de l’Idex UCA Jedi, ainsi que la Faculté de Droit et Science politique de Nice, pour la confiance et le soutien apportés à la Fablex.

Nous adressons nos remerciements à Julie Charpenet, coordinatrice de la Fablex-DL4T, pour son écoute et ses conseils auprès des étudiants, ainsi que Marion Musso pour sa grande disponibilité.

Nous adressons également nos remerciements aux acteurs de terrain. Ils ont su nous accorder de leur pré-cieux temps, et un éclairage indispensable à la compréhension de la technologie et ses enjeux :

• Monsieur Jonathan J. Attia, chercheur associé au GREDEG UMR 7321 CNRS pour son séminaire sur la question ;

• Madame Marine Brenier, Députée des Alpes Maritimes ;

• Madame Sandra Bertin, Directrice de la Police Municipale de Nice, ainsi qu’à l’ensemble du personnel du Centre de Supervision Urbain de Nice, en particulier Monsieur Gregory Pezet, Directeur du Centre ; • Monsieur le Professeur Jean-Marc Ogier, Président de l’Université de la Rochelle et Directeur du

Laboratoire Informatique, Image et Interaction (L3i) ;

• Sébastien Viano, Directeur Europe et Financements Extérieurs, DGA Attractivité Economique, Innovation, Tourisme et International de la Métropole Nice Côte d’Azur.

Nous remercions les acteurs associatifs parmi lesquels la section niçoise de la Ligue de Droits de l’Homme, tout spécifiquement Monsieur Henri Busquet pour nos précieux échanges ainsi que la Quadrature du Net à travers les personnes de Monsieur Martin Drago et Monsieur Arthur Messaud.

Nous remercions enfin Marina Teller, Stéphane Prévost et Sumi Saint-Auguste, pour leur bienveillance, leurs encouragements et leur soutien.

Qu’il nous soit permis, par le présent rapport, d’apporter notre modeste contribution au débat sur la reconnaissance faciale ô combien important pour nos sociétés.

R

emerciements

Ce travail n’aurait pu voir le jour sans le soutien de notre institution. Nous remercions Université Côte d’Azur, et plus particulièrement les équipes de l’Idex UCA Jedi, ainsi que la Faculté de Droit et Science politique de Nice, pour la confiance et le soutien apportés à la Fablex.

Nous adressons nos remerciements à Julie Charpenet, coordinatrice de la Fablex-DL4T, pour son écoute et ses conseils auprès des étudiants, ainsi que Marion Musso pour sa grande disponibilité.

Nous adressons également nos remerciements aux acteurs de terrain. Ils ont su nous accorder de leur pré-cieux temps, et un éclairage indispensable à la compréhension de la technologie et ses enjeux :

• Monsieur Jonathan J. Attia, chercheur associé au GREDEG UMR 7321 CNRS pour son séminaire sur la question ;

• Madame Marine Brenier, Députée des Alpes Maritimes ;

• Madame Sandra Bertin, Directrice de la Police Municipale de Nice, ainsi qu’à l’ensemble du personnel du Centre de Supervision Urbain de Nice, en particulier Monsieur Gregory Pezet, Directeur du Centre ; • Monsieur le Professeur Jean-Marc Ogier, Président de l’Université de la Rochelle et Directeur du

Laboratoire Informatique, Image et Interaction (L3i) ;

• Sébastien Viano, Directeur Europe et Financements Extérieurs, DGA Attractivité Economique, Innovation, Tourisme et International de la Métropole Nice Côte d’Azur.

Nous remercions les acteurs associatifs parmi lesquels la section niçoise de la Ligue de Droits de l’Homme, tout spécifiquement Monsieur Henri Busquet pour nos précieux échanges ainsi que la Quadrature du Net à travers les personnes de Monsieur Martin Drago et Monsieur Arthur Messaud.

Merci également aux fabricateurs de Master I : Lena, Léonie, Lucas et Tommy pour leur aide logistique précieuse. Nous remercions enfin Marina Teller, Stéphane Prévost et Sumi Saint-Auguste, pour leur bienveillance, leurs encouragements et leur soutien.

Qu’il nous soit permis, par le présent rapport, d’apporter notre modeste contribution au débat sur la reconnaissance faciale ô combien important pour nos sociétés.

(8)

(9)

T

able

des

abréviations

AEPD

AIPD

CBP

CEDH

CNIL

CSI

BDSV

EES

G29

ICO

LIL

Met

PARAFE

RGPD

RWDM

SARI

SIS

TA

UE

Agencia Española de Protección de Datos

Analyse d’Impact relative à la Protection des Données

College bescherming persoonsgegevens

Convention Européenne des Droits de l’Homme

Commission Nationale de l’Informatique et des Libertés

Code de la Sécurité Intérieure

Bundesvereinigung Deutscher Stahlrecycling

und Entsorgungsunternhehmen

Entry - Exit System

Groupe de travail « article 29»

Information Commissioner’s Office

Loi relative à l’Informatique, aux fichiers et aux Libertés

Police métropolitaine de Londres

Passage Automatisé Rapide Aux Frontières Extérieures

Règlement Général sur la Protection des Données

Racing White Daring Molenbeek

Sistema Automatico di Riconoscimento Immagini

Schengen Information System

Tribunal Administratif

Union Européenne

(10)

(11)

SOMMAIRE

INTRODUCTION

PREMIÈRE PARTIE : L’ENCADREMENT EUROPÉEN I. Champ d’application du « paquet européen » II. L’encadrement du traitement des données sensibles

III. L’encadrement des décisions fondées exclusivement sur un traitement automatisé

IV. Les dispositions relatives à l’usage des images faciales comme éléments d’identification biométriques

DEUXIÈME PARTIE : CARTOGRAPHIE EUROPÉENNE DES LÉGISLATIONS ET DES USAGES NATIONAUX I. Législation

II. Prise de position des autorités de contrôle III. Cas d’usage

IV. Résistance et recours

TROISIÈME PARTIE : ÉTAT PAR ÉTAT Allemagne Belgique Espagne France Italie Pays-Bas République Tchèque Royaume-Uni Suède Autres ANNEXES : INTERVIEWS

Interview de Sandra Bertin, Directrice de la Police municipale de Nice Interview de Martin Drago et Arthur Messaud, La Quadrature du Net Interview de Jean-Marc Ogier, Président de l’Université de la Rochelle et Directeur du Laboratoire Informatique, Image et Interaction (L3i)

11 15 16 17 19 21 23 23 25 29 42 51 53 59 69 75 83 89 95 99 119 125 129 131 141 151

(12)

(13)

introdUction

L’État de surveillance technologique. L’année 2019 inscrit l’État de surveillance dans la modernité1_{. Le}

Panopticon, renforcé d’un arsenal technologique dernier cri, équipe peu à peu nos villes dans la promesse dystopique de l’« intelligence » technologique. Souriez, vous êtes filmés, traqués, profilés. Le phénomène n’est évidemment pas nouveau, mais se distingue par son ampleur : il est tout à la fois global et multidimensionnel. Global, car il prend forme, indifféremment, dans les régimes démocratiques et autoritaires, de Londres à Nairobi. Multidimensionnel, il l’est encore, car il prend racine dans les structures profondes de nos sociétés et transcende les frontières du public et du privé. Shoshana Zuboff décrit cette intrication dans un ouvrage qui s’imposa en quelques semaines comme la référence d’une génération : le « capitalisme de surveillance »2_.

Elle analyse comment l’appareillage technologique sécuritaire traduit l’expérience humaine en données informatiques pour orienter nos comportements de consommateur et de citoyen.

Reconnaissance faciale – Une définition. Du drone aux micros, en passant par les caméras corporelles, les

dispositifs technologiques sécuritaires sont nombreux. Le présent rapport intéresse toutefois une technologie bien spécifique, qui alimente espoirs, craintes et fantasmes dans le débat public : la technologie de reconnaissance faciale. La reconnaissance faciale est une technique qui permet, à partir des traits de visage, d’authentifier une personne - vérifier que celle-ci est bien celle qu’elle prétend être – ou l’identifier, c’est-à-dire la retrouver au sein d’un groupe d’individus, dans un lieu, une image ou une base de données. Ces deux applications reposent sur un modèle probabiliste visant à évaluer la correspondance entre un visage et le gabarit numérique de celui-ci3_.

Traitement des données biométriques. La reconnaissance faciale est, de ce fait, indissociable d’un traitement

de données biométriques : ce sont les caractéristiques physiques du visage qui permettent de « reconnaître » la personne. L’exploitation de ces données distingue la technologie des autres dispositifs d’enregistrement de vidéos, tels que les caméras de vidéo protection ou de surveillance. Bien que formant un même « continuum technologique »4_{, ils permettent seulement de filmer les personnes.}

Les usages de la reconnaissance faciale dans l’espace public. La technologie de reconnaissance faciale est

mobilisée – ou susceptible de l’être – à diverses fins, des usages « récréatifs » et privés, au maintien de l’ordre public. Le présent rapport intéresse plus spécifiquement les usages de la technologie dans l’espace public. Celui-ci est compris au sens large, comme tout lieu de passage ou de rassemblement accessible à tous, indépendamment de la qualité du domaine (public ou privé). Si les autorités publiques apparaissent, dans ce cadre, comme les principaux responsables de traitement, les expérimentations constituent le terrain privilégié des collaborations entre acteurs publics et privés. La porosité des domaines apparaît ici particulièrement prégnante.

Les enjeux. La technologie n’emporte pas le consensus et alimente les suspicions. Si le débat public est engagé

dans de nombreux États – et ce, au-delà des frontières européennes5_{-, les usages appropriés (efficacité),}

légaux (légalité), et acceptables (légitimité) doivent encore être déterminés. Ils appelleront inévitablement des compromis entre sécurité et libertés, qui définiront, plus largement, le cadre des technologies de surveillance. Dans cette perspective, et au regard du potentiel liberticide de la technologie, plusieurs points de vigilance doivent être observés.

1 S. feLdstein, “The Global Expansion of AI Surveillance”, Paper for Carnegie endowment for international peace,

Sep-tember 17, 2019

https://carnegieendowment.org/2019/09/17/global-expansion-of-ai-surveillance-pub-79847

2 s. Zuboff, The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, Profile

Books Édition, Main, January 2019, 705 p.

3 Notons en outre que les dispositifs sont technologiquement aussi nombreux que les entreprises qui les fournissent.

4 Selon l’expression à laquelle recours la CNIL française dans ses publications. Voy. par exemple : CNIL, Reconnaissance

Faciale : pour un débat à la hauteur des enjeux, 15 novembre 2019, p.4.[en ligne] https://www.cnil.fr/sites/default/files/atoms/ files/reconnaissance_faciale.pdf

(14)

 La sensibilité des données utilisées. La donnée biométrique est « immuable » : elle ne dépend pas

de la volonté propre de l’individu, elle lui est attachée sans que celui-ci ne puisse s’en défaire - à l’exception de se grimer, de recourir à la chirurgie ou de porter des artifices.

Le scandale survenu à la suite des révélations du New York Times concernant la société Clearview AI6_{révèle la vulnérabilité à laquelle le déploiement des dispositifs expose ces données. La start-up}

américaine a constitué, à partir des réseaux sociaux, une base de données biométriques permettant l’identification des individus. Plus de trois milliards de profils y ont été clandestinement – c’est à dire sans le consentement des individus – regroupés. Ils ont été indistinctement vendus aux autorités de police, aux universités, aux acteurs privés et autres milliardaires à l’échelon mondial, et ce compris sur le territoire européen7_.

 Surveillance généralisée. Comme le souligne la Commission Nationale de l’Informatique et des Libertés française, l’adoption de la reconnaissance faciale dans l’espace public conduirait à un « changement de paradigme » : « d’une surveillance ciblée de certains individus », la technologie offre la perspective « d’une surveillance de tous aux fins d’en identifier certains »8_{. Le caractère ubiquitaire}

de la technologie, qui échappe à tout contact avec les individus, renforce en outre le phénomène. Cette évolution, inquiétante, n’est pas acceptable en tant que tel dans un régime démocratique. D’une part, la liberté de se mouvoir anonymement dans l’espace public ne saurait être entravée et conditionnée par la lecture « technologique » de nos comportements ; la surveillance généralisée des individus est manifestement disproportionnée au regard de l’objectif de maintien de l’ordre public poursuivi. D’autre part, elle ne peut conduire ni reposer sur un « fichage » généralisé des individus. Les exemples étrangers traduisent très concrètement cette menace : oppression des manifestants hongkongais et russes, de la minorité ouïgoure en Chine, traque des Palestiniens en Cisjordanie. Outre le ciblage politique, celui des migrants ou des délinquants condamnés apparaît tout aussi contraire aux principes démocratiques.

 Failles techniques. Les failles techniques sont encore nombreuses. Parmi celles-ci, les biais

algorithmiques conduisent à exacerber - voir créer - des situations discriminantes. Rappelons que la technologie repose sur des estimations statistiques dont la pertinence peut varier en fonction de l’environnement (angles, lumière, résolution d’image), de l’âge, de la couleur de peau ou du sexe des personnes. Comme l’ont établi diverses études9_{, le risque de faux positifs et de faux négatifs}

est important. Une identification erronée peut emporter des conséquences juridiques, sociales, et psychologiques non négligeables pour les individus ; elle est en outre susceptible de nuire à la cohésion sociétale en stigmatisant certains groupes où les erreurs sont plus nombreuses10_{. Aux}

États-Unis, les risques qui en résultent pour les autorités de police – une dégradation des relations avec les administrés - constituent l’une des principales critiques adressées aux dispositifs.

Une cartographie européenne. Phénomène global, la technologie s’est emparée du débat public national

et européen suscitant, de la part des pouvoirs publics, des prises de position attentistes. De nombreux gou-vernements encouragent avec constance la multiplication des expérimentations en vue d’offrir, à leurs

in-6 K. hiLL, “The Secretive Company That Might End Privacy as We Know It”, New York Times, Jan. 18, 2020, [en ligne] https://www.nytimes.com/2020/01/18/technology/clearview-privacy-facial-recognition.html

7 s. stoLton, Bruxelles se penche sur le scandale Clearview AI sur la reconnaissance faciale, Euractiv, 13 février 2020 [en

ligne]

www.euractiv.fr/section/economie/news/after-clearview-ai-scandal-commission-in-close-contact-with-eu-data-authorities/ 8 CNIL, Reconnaissance Faciale : pour un débat à la hauteur des enjeux, précédemment cité, p.7.

9 J. buoLamwini & T. gebRu, «Gender Shades: Intersectional Accuracy Disparities in Commercial Gender Classification”,

Conference on Fairness, Accountability, and Transparency, Proceedings of Machine Learning Research 81:1–15, 2018; P. gRotheR,

m. ngan, K. hanaoKa, “Face Recognition Vendor Test (FRVT) Part 3: Demographic Effects”, NISTIR 8280, U.S. Department of

Com-merce, December 2019, [en ligne] https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8280.pdf ; CNIL, Reconnaissance Faciale :

pour un débat à la hauteur des enjeux, précédemment cité, p.8.

(15)

dustriels, les terrains d’application indispensables à la formation de champions nationaux. Si la Commission européenne plaide pour l’uniformisation des usages circonstanciés dans le respect des droits fondamentaux et de la protection des données11_{, elle identifie l’urgence dans le « débat » : interdiction et moratoire, un temps}

envisagés, sur le modèle de la loi californienne12_{, ne sont pas à l’agenda.}

Le présent rapport s’inscrit dans ce contexte. Il vise à apporter un éclairage sur l’état du droit, les prises de position des autorités nationales compétentes, et les expérimentations nationales conduites. Ce travail a no-tamment pour objectif d’identifier les points de convergence entre les États et d’interroger l’existence d’une voix commune.

Cette étude n’est pas exhaustive. Nous avons choisi d’étudier un échantillon de 9 pays : l’Allemagne, la Bel-gique, l’Espagne, la France, l’Italie, les Pays-Bas, la République tchèque, le Royaume-Uni et la Suède. Nous apportons également des informations relatives aux expérimentations conduites au Danemark, en Finlande et en Slovénie. Ce choix s’est fondé sur les données nationales accessibles, au regard des langues maîtrisées par les auteurs de l’étude.

Méthode. Pour conduire ce travail, différentes méthodes ont été mises en œuvre :

- La méthode analytique a été privilégiée pour étudier les textes produits (législation, positions des autorités compétentes, et plus rarement jurisprudences) ; nous y recourons pour l’étude de l’encadre-ment juridique européen et national.

- La lecture transversale se fonde sur une analyse empirique des données recueillies, qui a permis d’identifier les tendances communes et les spécificités nationales. Elle s’illustre notamment par la production de données chiffrées et l’ensemble des tableaux qui accompagnent nos analyses.

- L’étude de terrain, que nous avons brièvement menée auprès des professionnels et acteurs du secteur, a enfin permis de mieux saisir les enjeux et comprendre la technologie.

Conclusions. Si des sensibilités et approches nationales sont observables, nous concluons au terme de notre

étude :

- Qu’aucun des États étudiés n’a, à ce jour, adopté de législation spécifique à l’encadrement de la technologie ;

- Que les autorités de protection des données, compétentes, adoptent dans leur majorité une position circonspecte : rappelant les risques liés aux usages de la technologie, elles sont bien souvent les témoins mal armés des expérimentations qui se multiplient ;

- Que les débats nationaux et institutionnels laissent entrevoir l’insuffisance des garanties démocratiques que le législateur est invité à pallier.

Plan du rapport. Le présent rapport est articulé en trois parties : l’identification de l’encadrement européen

(I) est suivie d’une cartographie européenne des législations et des usages nationaux (II). La dernière partie étudie la situation propre à chaque État (III).

11 COM(2020) 65 final, CommissioneuRoPéenne, Intelligence artificielle - Une approche européenne axée sur l’excellence et la confiance, 19.2.2020, https://ec.europa.eu/info/sites/info/files/commission-white-paper-artificial-intelligence-feb2020_ fr.pdf

(16)

(17)

PARTIE I.

L’ENCADREMENT EUROPÉEN

Si le débat sur la technologie de reconnaissance faciale a investi la scène européenne, suscitant, force est de constater que la technologie ne fait pas encore l’objet d’un encadrement idoine. Le droit européen n’en est pas pour autant silencieux. Bien que parcellaire, la législation relative à la protection des données à carac-tère personnel établit un encadrement des usages posant les premiers jalons de l’encadrement de la techno-logie elle-même. Ces dispositions reposent sur deux textes, adoptés en avril 2016, qui composent le « paquet européen » : le Règlement (UE) 2016/679, du Parlement et du Conseil, relatif à la protection des données des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »)13_{d’une part ; la Directive 2016/680 du 27 avril 2016 relative à la protection des personnes}

physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécu-tion de sancd’exécu-tions pénales, et à la libre circulad’exécu-tion de ces données (dite « Directive Police-Justice »)14_{, de l’autre.}

En parallèle de ces textes, des dispositions sont applicables à l’usage des images faciales dans le cadre de la sécurité et du contrôle aux frontières. Les dispositifs de reconnaissance faciale sont ainsi strictement encadrés en la matière par le Règlement (UE) 2017/222615_{du Parlement Européen et du Conseil du 30 novembre 2017}

portant création d’un système d’entrée/de sortie (EES) pour enregistrer les données relatives aux entrées, aux sorties et aux refus d’entrée concernant les ressortissants de pays tiers qui franchissent les frontières extérieures des États membres et portant détermination des conditions d’accès à l’EES à des fins répressives, et modifiant la convention d’application de l’accord de Schengen et les règlements (CE) n° 767/2008 et (UE) n° 1077/2011 et par la réglementation dite « SIS II » relative au système d’information Schengen de deuxième génération composée des règlements 2018/186016_{, 2018/1861}17_{et 2018/1862}18_.

Le présent rapport intéresse le recours à la reconnaissance faciale dans la surveillance de l’espace public. Nous préciserons le champ d’application respectif de ces textes (I), les régimes établis par ceux-ci quant au traitement des données à caractère personnel sensibles (II) puis les dispositions prévoyant l’encadrement des décisions fondées exclusivement sur un traitement automatisé (III). Enfin, au regard de la multiplication des initiatives en la matière, les différentes dispositions relatives à l’utilisation des images faciales en matière d’identification biométrique dans le cadre de la sécurité et du contrôle aux frontières seront évoquées à titre accessoire (IV).

13 Ce texte adopté le 27 avril 2016 remplace l’ancienne directive 95/46/CE du Parlement Européen et du Conseil, du 24 octobre 1995.

14 La directive de 2016 abroge la décision cadre 2008/977/JAI du Conseil.

15 Règlement (UE) 2017/2226 du Parlement Européen et du Conseil du 30 novembre 2017, https://eur-lex.europa.eu/ legal-content/FR/TXT/PDF/?uri=CELEX:32017R2226&from=EN

16 Règlement (UE) 2018/1860 du Parlement européen et du Conseil du 28 novembre 2018 relatif à l’utilisation du système d’information Schengen aux fins du retour des ressortissants de pays tiers en séjour irrégulier (JO L 312 du 7.12.2018, p. 1-13), https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:32018R1860

17 Règlement (UE) 2018/1861 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine des vérifications aux frontières, modifiant la convention d’application de l’accord de Schengen et modifiant et abrogeant le règlement (CE) no 1987/2006 (JO L 312 du 7.12.2018, p. 14-55), https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:32018R1861

18 Règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l’établissement, le fonctionnement et l’utilisation du système d’information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) no 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission (JO L 312 du 7.12.2018, p. 56-106), https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex:32018R1862

(18)

I. Champ d’application du « Paquet Européen »

La Directive Police-Justice, qui définit le régime de traitement des données exploitées à des fins de sûreté, apparaît prima facie comme le texte de référence pour la mise en œuvre de la reconnaissance faciale à des fins de surveillance dans l’espace public (A). La polysémie des usages mobilise parallèlement le RGPD, contraignant à l’analyse de ses champs d’application territorial et matériel (B).

A - Champ d’application matériel de la Directive Police Justice

L’article premier paragraphe 1 de la Directive « Police-Justice » 2016/680 du 27 avril 2016 établit le régime de protection des données personnelles traitées à des « fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces. » Précisons que ce régime concerne exclusivement le traitement de données personnelles par les autorités compétentes - à savoir : les juridictions pénales ou tout autre délégataire de prérogatives de police – et qu’il vise, uniquement le traitement des données à caractère personnel des personnes physiques.

Le cadre législatif européen distingue les traitements de données biométriques en fonction de leur finalité. La reconnaissance faciale constitue un exemple de traitement de données biométriques pouvant être utilisé à diverses fins, allant de la surveillance de l’espace public, aux usages privés « récréatifs » en passant par les usages commerciaux.

En tout état de cause, les usages de la technologie en matière pénale relèvent impérativement de la présente directive.

B - Champ d’application matériel et territorial du RGPD

Le RGPD encadre les activités de traitement des données à caractère personnel, que celles-ci soient automatisées ou non19_{. Ce texte européen ne s’applique qu’à l’égard des données à caractère personnel}

concernant des personnes physiques20_vivantes21_{. Les données des personnes morales sont exclues du champ}

matériel du Règlement22_{. Les dispositions du texte visent tous les supports (papiers et numériques) contenant}

des données personnelles, ainsi que l’ensemble des responsables de traitements ou sous-traitants.

Les dispositions de l’article 2 paragraphe 2 précisent les cas où le traitement de données à caractère personnel échappe aux dispositions du RGPD. Sont ainsi concernées :

- les activités ne relevant pas du droit de l’Union européenne ;

- les activités relevant du champ d’application du Chapitre 2 du Titre V du Traité sur L’Union européenne ; - les activités n’ayant qu’un usage personnel ou domestique ;

- les activités relavant de la directive 2016/680 du 27 avril 2016;

En matière territoriale, l’article 3 paragraphe 1 du RGPD prévoit son application aux activités des responsables de traitement ou de sous-traitants au sein de l’Union européenne, que ce traitement de données personnelles ait lieu ou non au sein de l’Union. Ainsi, l’article 3 paragraphe 2 conditionne l’applicabilité du texte par la prise

19 Article 2 §1 « Le présent règlement s’applique au traitement à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier »

20 Considérant 2

21 Considérant 27

(19)

en compte du critère d’établissement23_{ou de ciblage}24_{. Ces dispositions précitées font peser sur les industriels}

l’obligation d’assurer la conformité de leurs dispositifs aux exigences européennes en matière de protection des données personnelles.

II. L’encadrement du traitement des données à caractère personnel sensibles

Tout dispositif de reconnaissance faciale repose sur l’exploitation de données biométriques. Ces don-nées relèvent de la catégorie des dondon-nées dites « sensibles », définies par l’article 9 du RGPD comme étant les données « qui révèle(nt) l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont in-terdits ». Les traitements de ce type de données peuvent constituer un risque d’atteinte aux droits et libertés. La reconnaissance faciale en constitue un exemple typique. Le droit à la vie privé tel que défini à l’article 8 de la Charte des droits fondamentaux de l’Union Européenne est l’un des fondements principaux d’une grande partie des recours contentieux à l’échelle européenne.

Si le paquet européen prohibe leur traitement, celui-ci peut être admis à titre exceptionnel sous certaines conditions (A) ; les textes prévoient en outre des dispositions particulières concernant leur enca-drement (B).

A - La prohibition relative des traitements de données biométriques

Le RGPD interdit le traitement de données biométriques25_{définies comme étant des « données}

à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ». L’article 9 paragraphe 2 prévoit une série d’exceptions. Parmi elles, sont énoncés le consentement libre et éclairé des personnes concernées par le traitement, la sauvegarde des intérêts vitaux de la personne ou l’existence d’un motif d’intérêt public important.

Les lignes directrices européennes26_{prennent l’exemple d’une société privée qui déploie des dispositifs de}

reconnaissance faciale aux points d’identification dans un aéroport pour vérifier l’identité des passagers. Ceux-ci auraient préalablement consentis à une telle procédure. Les passagers s’inscriront, par exemple, dans un terminal automatique pour créer et d’enregistrer leur gabarit27_{associé à leur carte d’embarquement et à}

leur identité. Ces lignes directrices rappellent que les points de contrôle avec reconnaissance faciale doivent être clairement distingués de ceux qui en sont dépourvus. Seuls les passagers, ayant préalablement consenti (1) et procédé à leur enregistrement (2), pourront utiliser le portique équipé du système biométrique.

De nouveau, la Directive Police-Justice est plus restrictive quant au traitement de données sensibles. L’article 10 autorise le traitement de ces données « uniquement en cas de nécessité absolue », c’est-à-dire, dans les seuls cas où les traitements:

23 Lieu d’établissement du responsable du traitement ou de son sous-traitant. 24 Personnes visées par le traitement.

25 Article 4 du RGPD

26 European Data Protection Board, « Guidelines 3/2019 on processing of personal data through videos devices », January 29, 2019, p.19

(20)

- sont autorisés par le droit de l’Union européenne ou celui d’un État membre ;

- sont destinés à protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique ; - portent sur des données ayant été manifestement rendues publiques par la personne concernée. Si la prohibition des traitements de données sensibles est le principe, les exceptions prévues par les textes sont nombreuses. Il apparaît que le régime d’exploitation de ces données est suffisamment large pour autoriser le développement de la reconnaissance faciale au sein de l’UE.

B - Les mesures d’encadrement des traitements de données biométriques

L’entrée en vigueur du paquet européen renverse le paradigme en substituant une démarche de conformité à l’obtention d’une autorisation préalable de l’autorité de régulation pour la mise en place d’un traitement. En matière de reconnaissance faciale cet inversement de logique entraîne des conséquences importantes pour les responsables de traitements, qui doivent en garantir la conformité. Dans cette perspective, deux mécanismes prévus par la réglementation européenne conditionnent le déploiement des dispositifs. C’est en premier lieu, la réalisation d’une analyse d’impact relative à la protection des données28_{(AIPD) (1) et}

en second, l’intégration dès la conception (privacy by design) et par défaut de la vie privée (privacy by default) qui en découle (2). En cas de non-respect de ces obligations, les responsables de traitement prennent le risque d’être sanctionnés.

1. L’analyse d’impact relative à la protection des données

Les textes européens convergent quant à la détermination des traitements qui doivent faire l’objet d’une AIPD. L’article 35 du RGPD et l’article 27 de la Directive Police-Justice imposent aux responsables de traitement de réaliser une analyse d’impact en cas de « risque élevé pour les droits et libertés des personnes physiques ». Ce risque existe dès lors que des données biométriques sont traitées à des fins d’identification ou d’authentification d’une personne de manière unique29_.

A l’issue de cette AIPD, les articles 36 du RGPD et 28 (a) de la Directive Police-Justice exigent en outre que le responsable de traitement consulte l’autorité de contrôle lorsqu’une analyse d’impact relative à la protection des données « indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque ».

Enfin, contrairement à l’article 35 du RGPD qui identifie les traitements particuliers devant faire l’objet d’une AIPD30_{, la Directive Police-Justice demeure muette sur le sujet. Toutefois, les différentes autorités de régulations}

des Etats membres ont établis des listes de traitements soumis obligatoirement à une AIPD et le CEPD a fixé une liste de neuf critères31_{pour déterminer si une analyse d’impact est nécessaire. Si un traitement répond à}

au moins deux critères celui-ci doit faire l’objet d’une AIPD.

28 La CNIL précise à ce titre que « tout projet d’y recourir devra à tout le moins faire l’objet d’une analyse d’impact relative à la protection des données (AIPD) » https://www.cnil.fr/fr/definition/reconnaissance-faciale

29 Voir Considérant n°51 de la Directive Police-Justice et l’article 35 paragraphe 3, b) du RGPD

30 « a) l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b) le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou

c) la surveillance systématique à grande échelle d’une zone accessible au public. »

31 Groupe de travail « Article 29 », Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 adoptées le 4 avril 2017 - Version révisée et adoptée le 4 octobre 2017 (WP248rev.01), p.27 https://www.cnil.fr/sites/ default/files/atoms/files/wp248_rev.01_fr.pdf

(21)

Dans le cadre des usages de la reconnaissance faciale, qui conduisent, dans la majorité des cas, à effectuer une surveillance à grande échelle d’un espace public, le traitement fait obligatoirement l’objet d’une AIPD préalable et ce, indépendamment du cadre dans lequel elle est déployée. Comme évoqué dans les développements précédents, cette exigence est aussi bien consacrée par le RGPD que par la directive Police-Justice.

2. La protection des données dès la conception (by design) et par défaut (by default)

Le CEPD a publié en novembre 2019 ses lignes directrices32_{relatives aux concepts de privacy by design}

et by default pour en préciser les contours. Ces concepts, tels que définis par le RGPD33_{, apparaissent comme}

des principes d’encadrement des traitements de données personnelles.

 Le concept de privacy by design implique de prendre en compte la protection des données personnelles dès la conception du produit ou du service reposant sur un traitement de donnée. Concrètement, sont implémentés dans le dispositif technique des systèmes permettant d’assurer la protection des données, comme le chiffrement des données, leur pseudonymisation ou encore leur minimisation. L’adoption de mesure techniques et organisationnelles pèse sur le responsable de traitement et assure sa conformité au RGPD.

 Le principe de privacy by default34_{enjoint les responsables de traitement d’assurer que leur produit}

ou service réponde, par défaut35_{, au plus haut niveau de protection.}

Ces concepts impliquent donc que la règle de droit soit mise en œuvre par le biais de l’architecture du dis-positif. En matière de reconnaissance faciale, ils peuvent par exemple se traduire par les mesures telles que le floutage des visages, la présence de caches devant les lieux d’habitation, l’absence d’enregistrement des images faciales des personnes non recherchées ou le hachage des gabarits. Face aux controverses entourant l’effectivité de la procédure d’AIPD, ces principes s apparaissent comme des mesures décisives d’encadre-ment de la technologie.

Conformément à l’article 42 du RGPD, ces mesures peuvent donner lieu à une certification des dispositifs.

III. L’encadrement des décisions fondées exclusivement sur un traitement

automatisé

Le RGPD et la Directive Police-Justice interdisent la prise de décision individuelle sur le fondement exclusif d’un traitement automatisé. Des dérogations à cette prohibition sont prévues, mais elles diffèrent selon les textes.

L’article 22 paragraphe 2 du RGPD envisage trois exceptions :

- En cas de nécessité à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable du traitement ;

- En cas d’autorisation par le droit de l’Union européenne ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

- En cas de consentement explicite de la personne concernée.

32 European Data Protection Board, « Guidelines 4/2019 on Article 25 Data Protection by Design and by Default », Novembre 29, 2019, p.27 https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_ by_design_and_by_default.pdf

33 Article 25 paragraphe 1 du RGPD

34 Article 25 paragraphe 2 du RGPD

(22)

Lorsqu’une décision est prise sur le fondement d’un traitement automatisé, des « mesures appropriées

pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée » doivent être

mises en œuvre. L’article 22 du RGPD impose une « intervention humaine »36_{, sauf lorsque la décision}

repose sur le consentement explicite de la personne concernée ou lorsqu’elle est nécessaire à la conclusion ou à l’exécution d’un contrat entre la personne concernée et un responsable de traitement. Dès lors, et conformément au considérant n°71, toute personne concernée réceptrice d’une décision individuelle automatisée est en « droit d’obtenir une intervention humaine, d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type d’évaluation et de contester la décision ».

Ce même considérant précise en outre qu’un enfant ne devrait pas faire l’objet d’une décision prise sur le fondement d’un traitement automatisé. Les lignes directrices du G29 relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 estiment toutefois « qu’il ne s’agit pas d’une interdiction absolue de ce type de traitement à l’égard des enfants » bien qu’il « recommande aux responsables de traitement de ne pas invoquer, en principe, les exceptions prévues à l’article 22 paragraphe 2 pour le justifier ».37_{Les garanties mises en place doivent être adaptées aux enfants. La nécessité d’une}

protection spécifique pour ces derniers est affirmée au considérant n°338_{. Ces dispositions prennent tout}

leur sens au regard des différentes expérimentations, abouties ou non, au sein des établissements publics scolaires, notamment en France et en Suède.

La directive Police-Justice est plus restrictive : elle n’admet qu’une seule exception à l’interdiction suscitée. L’article 11 subordonne le traitement à « l’autorisation par le droit de l’Union européenne ou par le droit de l’État membre auquel le responsable de traitement est soumis ». Le consentement de la personne concernée ne peut constituer une exception justifiant la prise d’une décision individuelle automatisée39_{. Le}

considérant n°35 soutient en effet que « lorsqu’elle est tenue de respecter une obligation légale, la personne

concernée ne dispose pas d’une véritable liberté de choix ; sa réaction ne pourrait dès lors être considérée comme une manifestation libre de sa volonté ».

Lorsqu’un traitement est mis en œuvre, l’article 11 de la directive octroie à la personne concernée « le droit

d’obtenir une intervention humaine de la part du responsable du traitement ». Le considérant n°38 est

plus explicite en précisant que la personne concernée reçoit des informations spécifiques et dispose du droit « d’exprimer son point de vue, d’obtenir une explication quant à la décision prise à l’issue de ce type

d’évaluation ou de contester la décision ». En outre, la directive interdit expressément « tout profilage qui entraîne une discrimination à l’égard des personnes physiques sur la base des catégories particulières de

données à caractère personnel visées à l’article 10 ».

Au regard de l’ensemble de ces développements, il apparaît que les dispositions européennes encadrent largement l’utilisation des nouvelles technologies reposant sur le traitement automatique de données à caractère personnelle. Toutefois aucune n’est spécifique à la reconnaissance faciale. Les textes sont parfois trop éloignés des véritables risques que présentent les usages. Ce constat encourage plusieurs certaines autorités nationales de contrôle à plaider en faveur de l’instauration d’un cadre juridique spécifique à la technologie.

36 De la part du responsable de traitement

37 Groupe de travail « Article 29 », Lignes directrices relatives à la prise de décision individuelle automatisée et au profilage aux fins du règlement (UE) 2016/679 adoptées le 3 octobre 2017 - Version révisée et adoptée le 6 février 2018 (WP251rev.01), p.32

38 Ibid.

39 Groupe de travail « Article 29 », Lignes directrices relatives au consentement aux fins du règlement (UE) 2016/679 adoptées le 28 novembre 2017 - Version révisée et adoptée le 10 avril 2018 (WP259rev.01), p.36

(23)

IV. Les dispositions relatives à l’usage des images faciales comme

éléments d’identification biométriques

Différents textes européens prévoient parallèlement des dispositions spécifiques à l’utilisation de la reconnaissance faciale aux fins d’identification, notamment en matière de sécurité et de contrôle aux fron-tières.

Le Règlement Entry – Exit System (EES) du 30 novembre 2017 relatif à la création d’un système d’en-trée et de sortie à conduit à généraliser l’utilisation des images faciales comme moyens d’identification bio-métriques dans les différents systèmes informatiques existants au sein de l’Union40_{. Ce texte ouvre}

véritable-ment la voie au développevéritable-ment des dispositifs de reconnaissance faciales en généralisant l’usage des images faciales pour la vérification d’identité, les demandes de visa, d’asile et plus largement le passage aux frontières. Interconnectées avec d’autres données, les données biométriques ont pour finalités d’améliorer l’efficacité des contrôles. Le considérant n°20 du Règlement précise que « [l]’utilisation de l’image faciale en combinai-son avec les données dactyloscopiques permet de réduire le nombre total d’empreintes digitales dont l’en-registrement est requis tout en garantissant le même résultat quant à la précision de l’identification ».

Le Règlement du 28 décembre 2018 sur l’utilisation du Schengen Information System pour la vérifica-tion aux frontières prévoit des disposivérifica-tions spécifiques quant aux condivérifica-tions de collectes des images faciales, l’utilisation des dispositifs de reconnaissance faciale et les droits des personnes concernées par le traitement. Son considérant n°22 précise que « [l]e présent règlement devrait définir les conditions d’utilisation des don-nées dactyloscopiques, des photographies et des images faciales à des fins d’identification et de vérification. Les images faciales et les photographies ne devraient être utilisées, dans un premier temps, à des fins d’iden-tification que dans le contexte des points de passage frontalier habituels. Une telle utilisation devrait faire l’objet d’un rapport de la Commission confirmant que la technique requise est disponible, fiable et prête à être employée. ».

Enfin, le recours à la reconnaissance faciale dans le contrôle aux frontières est également évoqué dans les débats relatifs à l’extension du traité de Prüm. Ce traité, institué en 2008 par la Décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l’approfondissement de la coopération transfrontalière, vise notamment à lutter contre le terrorisme et la criminalité transfrontalière41_{. Il facilite à cet effet les échanges automatisés de}

données (ADN, dactyloscopiques, d’immatriculations) entre les Etats parties. Les travaux en cours au sein de la Commission Européenne pourraient conduire à accroître l’assiette des données biométriques partagées et l’interconnexion des bases de données de reconnaissance faciale de la police des vingt-sept Etats membres de l’Union Européenne.42_.

40 FRA, « Facial recognition technology : fundamental rights considerations in the context of law enforcement », Table 2 : EU IT systems for migration and security and processinf of facial images, p.14 https://fra.europa.eu/sites/default/files/ fra_uploads/fra-2019-facial-recognition-technology-focus-paper-1_en.pdf

41 Décision 2008/615/JAI du Conseil du 23 juin 2008 relative à l›approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme et la criminalité transfrontalière, https://eur-lex.europa.eu/legal-content/FR/ TXT/?uri=celex:32008D0615. Cette décision est issue de la signature d’un traité en 2005 par sept Etats membre de l’Union Euro-péenne parmi lesquels la France, la Belgique, l’Espagne, l’Allemagne, les Pays Bas, le Luxembourg et l’Autriche

42 Z. CamPbeLL, C. Jones, « Leaked reports show EU police are planning a pan-européan network of facial recognition

da-tabases » [en ligne], The Intercept, February 21, 2020, [consulté en ligne le 18/03/2020], https://theintercept.com/2020/02/21/ eu-facial-recognition-database/

(24)

(25)

PARTIE II.

CARTOGRAPHIE EUROPÉENNE DES LÉGISLATIONS

ET DES USAGES NATIONAUX

Dans chacun des pays étudiés – l’Allemagne, la Belgique, l’Espagne, la France, l’Italie, les Pays Bas, la République tchèque, le Royaume-Uni et la Suède - la présente étude interroge la législation nationale en vi-gueur (I), la position des autorités de protection des données nationale (II) et les expérimentations conduites dans l’espace public (III). Une dernière section est consacrée aux résistances et recours introduits à l’encontre des dispositifs de reconnaissance faciale (IV.)

I. Législation

Le pays concerné dispose-t-il d’une législation spécifique à la reconnaissance faciale ou, du moins, de dispositions autorisant son déploiement ?

A ce jour aucun État européen, parmi ceux étudiés, n’ont adopté de dispositions spéciales visant à encadrer les usages de la technologie (A). Si la nécessité de réaliser une étude d’impact préalablement à son déploiement est établie, le bilan de ces études est mitigée faute de publicité obligatoire (B). Des dispositions spécifiques aux mineurs ont été rappelées dans certains Etats (C).

A - Absence de législation spéciale

A ce jour, aucun État européen - parmi ceux étudiés - n’a adopté un encadrement légal spécifique à la reconnaissance faciale. Les expérimentations réalisées sont principalement régies par le droit européen de la protection des données et ses retranscriptions nationales. Ces dispositions sont complétées, dans certains Etats :

- Par la législation relative à la vidéoprotection ; tel est le cas de la Belgique43_{, la France}44_{et du}

Royaume-Uni45_.

- Par les dispositions spécifiques au traitement des données par les autorités de police en Suède46_.

Les usages de la technologie n’en alimentent pas moins le débat public et les propositions d’encadrement se multiplient. Celles-ci traduisent une préférence pour l’approche sectorielle : les propositions visent principalement à encadrer le recours à la reconnaissance faciale par les forces de police d’une part, dans les stades de l’autre.

 Perspectives d’encadrement des usages de la reconnaissance faciale par les forces de police Deux initiatives peuvent être mentionnées à ce titre:

- Plusieurs propositions de loi ont été déposées en France47_{, pour répondre à la volonté forte de}

cer-tains élus d’adopter la technologie et équiper les forces de police.

43 Loi du 21 mars 2007 réglant l’installation et l’utilisation de caméras de surveillance

http://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=fr&la=F&cn=2007032139&table_name=loi

44 Code de la sécurité intérieure (CSI) : Article L251-1 à L255-1 ainsi que les articles L223-1 à L223-9 en matière de lutte contre le terrorisme et les atteintes aux intérêts fondamentaux de la nation.

45 Surveillance Camera Code of Practice, Juin 2013,

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/282774/SurveillanceCame-raCodePractice.pdf

46 Lag (2018:1693) om polisens behandling av personuppgifter inom brottsdatalagens område,

https://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/lag-20181693-om-polisens-behandling-av_sfs-2018-1693

47 Par exemple, la proposition de loi relative à la reconnaissance faciale dans les enquêtes terroristes et la prévention des attentats, déposée par la Députée Marine Brenier en septembre 2017.

(26)

- Au Royaume-Uni, l’Information Commissioner’s Office plaide pour l’adoption d’un code de pratique juridiquement contraignant à destination des forces de police48_.

 Perspectives d’encadrement des usages dans les stades Deux propositions ont été recensées :

- La République Tchèque envisage d’encadrer plus spécifiquement les usages de la technologies pour limiter l’accès aux stades à certains individus identifiés49_.

- En France, d’après les entretiens que nous avons réalisés50_{, une loi d’expérimentation serait envisagée}

pour permettre l’utilisation des dispositifs de reconnaissance faciale dans le cadre de l’organisation des Jeux olympiques de 2024.

Notons que ces propositions font écho aux expériences, nombreuses, conduites dans les stades. Cinq Etats51

parmi les douze étudiés ont vu la mise en œuvre d’expérimentations visant à contrôler les accès. B - Analyse d’impact : bilan en demi-teinte

Nous constatons qu’aucun des Etats étudiés n’a pris de mesures particulières visant à renforcer les dis-positions relatives aux analyses d’impact prévues par les textes européens52_.

Plusieurs autorités de protection ont toutefois rappelé la nécessité de conduire celle-ci dans le cadre des usages de la reconnaissance faciale ; tel est le cas des autorités belge53_{, espagnole}54_{, française}55_{, tchèque et}

britannique56_{. Deux autorités ont en outre adopté des sanctions en l’absence de sa réalisation :}

- L’autorité de protection des données suédoise, qui prononça une sanction à l’encontre d’un établis-sement public scolaire ayant mis en place un logiciel de reconnaissance faciale57_.

- L’Organe de contrôle de l’information policière belge, qui a temporairement interrompu un projet de reconnaissance faciale au sein de l’aéroport de Bruxelles-National sur ces mêmes motifs58_.

Les informations obtenues ne permettent pas d’avoir une vision exhaustive de l’ensemble des ana-lyses d’impacts effectuées dans le cadre des usages de la technologies59_.

48 Information Commissioner’s Opinion, “The use of live facial recognition technology by law enforcement in public places”, 31 octobre 2019, p. 3, https://ico.org.uk/media/about-the-ico/documents/2616185/live-frt-law-enforcement-report-20191031.pdf

49 CT24, « Poznala vás kamera, na stadion nemůžete. Ministerstvo chystá zákon proti výtržníkům » [en ligne], CT24, 16 février 2020, [consulté le 01/02/2020], https://ct24.ceskatelevize.cz/domaci/3048906-poznala-vas-kamera-na-stadion-ne-muzete-ministerstvo-chysta-zakon-proti-vytrznikum

50 Voy. Infra (Interviews)

51 Le Danemark, la Belgique, la République tchèque, la France et le Royaume-Uni.

52 Voy. Infra (Partie I).

53 Secrétariat Général de l’Autorité de protection des données, « Adoption de la liste des catégories de traitement de-vant faire l’objet d’une analyse d’impact relative à la protection des données conformément à l’article 35.4 du Règlement Géné-ral sur la Protection des données (CO-A-2018-001) », n°01/2019, 16 janvier 2019, https://www.autoriteprotectiondonnees.be/ sites/privacycommission/files/documents/01_2019_SG.pdf

54 Agencia Española de Protección de Datos, « Guía práctica de análisis de riesgos en los tratamientos de datos perso-nales sujetos al RGPD », https://www.aepd.es/sites/default/files/2019-09/guia-analisis-de-riesgos-rgpd.pdf

55 Commission Nationale de l’Informatique et des Libertés, « Liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise », https://www.cnil.fr/sites/default/files/atoms/ files/liste-traitements-aipd-non-requise.pdf

56 infoRmation CommissioneR’s offiCe, “Examples of processing ‘likely to result in high risk’ ”, https://ico.org.uk/for-orga- nisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/data-protection-impact-assess-ments-dpias/examples-of-processing-likely-to-result-in-high-risk/

57 La décision reposait en partie sur l’absence de réalisation d’une AIPD. Datainspektionen, “Tillsyn enligt EU:s dataskyddsförordning 2016/679 – ansiktsigenkänning för närvarokontroll av elever”, 20 août 2019, https://www.datainspek-tionen.se/globalassets/dokument/beslut/beslut-ansiktsigenkanning-for-narvarokontroll-av-elever-dnr-di-2019-2221.pdf 58 B. SChmitZ, « Le RWDM comme laboratoire pour une technologie de reconnaissance faciale » [en ligne], RTBF, 5

sep-tembre 2018, [consulté le 14/01/2020], https://www.rtbf.be/info/regions/bruxelles/detail_le-rwdm-comme-labora-toire-pour-une-technologie-de-reconnaissance-faciale?id=10011249

59 Rappelons en effet qu’il n’existe pas d’obligation légale de publication en dépit des recommandations formulées par le Comité Européen de la Protection des Données. CEDP, Lignes directrices concernant l’analyse d’impact relative à la protec-tion des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du

(27)

C - Des dispositions spécifiques relatives aux mineurs

Certains États ont adopté des mises en garde spécifiques aux mineurs ; tel est le cas de l’Allemagne et de l’Espagne.

 En Allemagne, la Commission Éthique d’Allemagne souhaite sensibiliser le gouvernement fédéral pour que celui-ci offre des solutions technologiques aux familles. Ces solutions doivent assurer une pro-tection accrue aux mineurs et prévenir le risque de profilage ; ils doivent aussi permettre aux mineurs d’exercer leur droit à l’autodétermination informationnelle dans un environnement numérique sain60_.

 En Espagne, la loi organique sur la protection des données à caractère personnel du 5 décembre 201861

prévoit des dispositions spécifiques aux mineurs. L’article 7 relatif au consentement des mineurs dis-pose que le traitement des données à caractère personnel ne peut être fondé sur le consentement d’un mineur de moins de quatorze ans. A défaut de cette majorité numérique, le traitement est sou-mis au consentement du titulaire de l’autorité parentale ou de la tutelle. Ce titulaire, en représentation du mineur et conformément à l’article 12 de la loi organique, peut également exercer les droits prévus par cette même loi (droit d’accès, de rectification, etc).

Dans le cadre spécifique du traitement des données à caractère personnel lors de l’utilisation de dispositifs de reconnaissance faciale, l’autorité de contrôle espagnole a publié des lignes directrices62

dans lesquelles elle rappelle cette obligation.

II. Prise de position des autorités de contrôle

Quelles sont les positions adoptées par les autorités nationales de protection des données si - et dans la positive lorsque - celle-ci se sont prononcées? D’autres autorités nationales ont - elles pris position, de manière concurrente ou complémentaire, sur le sujet ?

En l’absence de cadre juridique idoine, les autorités nationales de protection des données personnelles ont, pour la plupart, été conduites à se prononcer sur les usages de la reconnaissance faciale (A). Parallèle-ment, d’autres instances nationales, concurrentes ou complémentaires, ont pris position en soutien ou en contradiction des premières, suscitant débats et interrogations (B).

A - Positions des autorités nationales de la protection des données personnelles

Toutes les autorités nationales de protection des données personnelles saisies se sont reconnues compétentes en matière de reconnaissance faciale dans deux hypothèses :

• La formulation d’une recommandation ou d’une décision relative(s), expressément, à la technologie63_;

• Une prise de position indirecte en se prononçant plus généralement sur les données biométriques64_.

Au départ de ces différents documents, et des positionnements adoptés, nous distinguons les autorités de contrôle en quatre catégories : les autorités de contrôle réservées (1) ; les autorités de contrôle mitigées (2) ; les autorités de contrôle défavorables (3) ; les autorités de contrôle favorables (4).

1. Les autorités de contrôle réservées

Sont identifiées comme « réservées », les autorités de contrôle qui n’interdisent pas le recours à la technologie, mais en soulignent les risques, et appellent à en limiter les usages dans le respect des droits et libertés des citoyens.

règlement (UE) 2016/679, https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf 60 Voy. Infra, Allemagne.

61 Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673

62 Agencia Española de Protección de Datos, « Orientaciones para centros educativos - Informe sobre la utilización por parte de profesores y alumnos de aplicaciones que almacenan datos en nube con sistemas ajenos a las plataformas educati-vas », 6 mars 2018, https://www.aepd.es/sites/default/files/2019-09/guia-orientaciones-apps-datos-alumnos.pdf

63 C’est le cas des Pays-Bas, de l’Italie, la France, le Royaume-Uni, la Suède, l’Allemagne

(28)

Les autorités de contrôle de la France, l’Espagne, la Belgique et la Suède s’inscrivent dans cette catégorie. Elles formulent en ce sens des recommandations pour son encadrement.

⇨ La CNIL française, soucieuse des risques technologiques et de leur potentiel liberticide, appelle à la prudence. Elle souligne la nécessité d’une approche casuistique et plaide en faveur d’un « débat à la

hauteur des enjeux » 65_.

⇨ L’autorité de contrôle suédoise invite son gouvernement à légiférer66_{. Parmi les avis émis}67_elle

reconnaît la légalité de certaines expérimentations (usages par les forces de police) et en sanctionne d’autres, à l’instar de celle conduite dans le lycée de la ville de Skellefteå.

⇨ L’Agence espagnole de protection des données ne s’est pas prononcée sur des cas d’usage. Elle a toutefois adopté une position plus générale, refusant de conférer un blanc-seing aux autorités et rappelant la nécessité d’observer les grands principes applicables en matière de protection des données68_{. Elle dénonce en ce sens l’installation de vidéo surveillance dans le but de contrôler les}

fréquentations scolaires.

⇨ L’Autorité de protection des données personnelles belge a formulé un avis relatif à l’usage des données biométriques dans le cadre de l’authentification des personnes. Si elle reconnait la « forte fiabilité » de ses technologies sur le principe, elle émet une réserve importante quant au risque de taux d’erreur. La biométrie ne devrait pas être utilisée, selon elle, au seul motif d’être l’unique moyen pour réaliser le but recherché, ou parce qu’elle est pratique et «fait moderne»69_.

2. Les autorités de contrôle mitigées

Nous attribuons la position « mitigée » aux autorités de contrôle qui adoptent des positions ambiguës. L’ambiguïté procède le plus souvent du décalage entre des prises de position publiques assertives, condamnant l’usage de la technologie de reconnaissance faciale, et des décisions ou avis autorisant très largement expérimentations et usages.

 Tel est le cas de l’autorité de contrôle anglaise. L’Information Commissioner’s Office multiplie les déclarations publiques alertant des risques de biais et de discriminations liés aux usages de la reconnaissance faciale70_{. Elle plaide en outre pour l’adoption d’un code de pratiques contraignantes}71_.

Dans le même temps, l’autorité de contrôle anglaise ne s’est opposée à aucune expérimentation de la reconnaissance faciale.

 Aux Pays-Bas, l’ambiguïté résulte de prises de position contradictoire. En février 2004, l’autorité de contrôle hollandaise affirmait que la capture des données biométriques d’une foule aux fins d’identification d’une personne était disproportionnée. Elle autorisait pourtant, en juin 2018, les publicitaires à utiliser la reconnaissance faciale dans l’espace public pour analyser l’humeur, le sexe et l’âge des passants afin de leur proposer des publicités adéquates72_.

3. Les autorités de contrôle défavorables 65 Voy. infra (France)

66 Voy. infra (Suède)

67 Datainspektionen, « Polisen får använda ansiktsigenkänning för att utreda brott », 24 octobre 2019, https://www. datainspektionen.se/nyheter/polisen-far-anvanda-ansiktsigenkanning-for-att-utreda-brott/ ; Datainspektionen, « Lagän-dring krävs för att polisen ska kunna utföra testverksamhet av ansiktsverifiering på flygplats », 16 décembre 2019, https://www. datainspektionen.se/nyheter/lagandring-kravs-for-att-polisen-ska-kunna-utfora-testverksamhet-av-ansiktsverifiering-pa-flygplats/

68 voy. infra (Espagne)

69 Voy. infra (Belgique), Autorité de la protection des données, « Un choix de société », https://www.autoriteprotection-donnees.be/un-choix-de-soci%C3%A9t%C3%A9

70 infoRmation CommissioneR’s offiCe, “Human bias and discrimination in AI systems”, 25 juin 2019,

https://ico.org.uk/about-the-ico/news-and-events/ai-blog-human-bias-and-discrimination-in-ai-systems/

71 Voy. infra (Royaume-Uni).

(29)

Sont « défavorables », les autorités de contrôles qui refusent la mise en place de ces dispositifs. Parmi les Etats étudiés, seule l’autorité de contrôle allemande est assimilable à une telle position. Selon elle, la technologie ne peut légalement être déployée en l’absence de base légale, laquelle fait aujourd’hui défaut73_{. Pour le}

commissaire fédéral à la protection des données, l’absence de fiabilité est préjudiciable et liberticide : « les gens sont suspectés à tort. Nous menaçons de perdre l’équilibre entre sécurité et liberté.74_».

4. Les autorités de contrôle favorables

Sont « favorables » aux usages de la reconnaissance faciale, les autorités de contrôle qui approuvent, sans nuance, les expérimentations conduites. Seule l’Italie, parmi les Etats étudiés, incarne cette position.

 L’autorité de contrôle italienne a approuvé la majorité des expérimentations initiées75. L’autorité juge le traitement de données biométriques conforme aux exigences de l’article 7 du décret législatif du 18 mai 2018, qui exige la stricte nécessité du traitement ainsi que des garanties adéquates pour les droits et libertés76. Par ailleurs, elle estime que ce traitement de données sensibles ne tombe pas sous le coup de l’interdiction des décisions fondées uniquement sur un traitement automatisé prévue à l’article 8 du décret législatif du 18 mai 201877. Enfin, un tel traitement serait compatible avec le principe de minimisation des données78 en ce sens que la biométrie faciale peut - dans le cas de la gestion des flux - éviter le recoupement de plusieurs données d’identification.

B - Positions des instances concurrentes ou complémentaires

Outre les autorités de contrôle officielles assurant le respect du droit au traitement des données personnelles, d’autres instances sont amenées à s’exprimer sur la légalité des usages de la reconnaissance faciale lorsqu’ils concernent le maintien de l’ordre public. Parmi elles :

 L’Organe de contrôle de l’information policière belge. Cet organe est une institution parlementaire fédérale autonome, disposant de la compétence exclusive en matière de protection des données personnelles pour les traitements réalisés par la police.

 Le Royaume-Uni dispose également de plusieurs autorités de contrôle79_{et d’un comité parlementaire}

afin d’épauler l’autorité britannique de protection des données80_{. Elles sont amenées à prendre}

position81_{et émettre des conseils afin d’encadrer les usages de la reconnaissance faciale. Quatre}

instances distinctes se sont prononcées sur le déploiement de la technologie.

 En Allemagne, la Commission d’éthique fédérale sur les données82_{a été mise en place par le}

gouver-nement fédéral. Elle apporte son expertise légale et technique au gouvergouver-nement et au Parlement au travers de recommandations écrites83_{. Elle bénéficie d’un rôle consultatif sur les questions relatives}

aux algorithmes et à l’intelligence artificielle, mais le Commissaire à la protection des données dis-pose, seul, d’un rôle décisionnel.

73 Voy. infra (Allemagne).

74 « Menschen geraten zu Unrecht unter Verdacht. Wir drohen die Balance zwischen Sicherheit und Freiheit zu verlie-ren“. uLRiChKeLbeR, « Le responsable de la protection des données met en garde contre la reconnaissance automatique des visages » [en ligne], t3n, 16 janvier 2019, [consulté le 16/01/2020]. https://t3n.de/news/datenschutzbeauftragter-kelber-1137512/ Traduction par nous.

75 Voy. infra (Italie)

76 gaRante PeR La PRoteZione dei dati PeRsonaLi, Décision n°9040256 rendue le 26 juillet 2018. 77 Ibidem.

78 gaRante PeR La PRoteZione dei dati PeRsonaLi, Décision n°8789277 rendue le 15 mars 2018.

79 Le Surveillance Camera Commissionner, le Biometrics Commissionner et le Science and Technology Committee.

80 Information Commissionner’s Office

81 Biometrics Commissioner, “Response to announcement on Live Facial Recognition”, 24 janvier 2020, https://www.gov. uk/government/news/response-to-announcement-on-live-facial-recognition

82 “Daten Ethik Kommission”

83 Site officiel de la Commission d’éthique fédérales sur les données https://datenethikkommission.de